Language
banner

ニュース

ホームページ > ニュース > コンテンツ
Aug 21, 2023

Twitter APIのセキュリティ侵害で540万人のユーザーデータが流出

7 月 11 ~ 12 日にサンフランシスコで経営トップに会い、リーダーたちが成功に向けて AI 投資をどのように統合し、最適化しているかを聞きましょう。 もっと詳しく知る

今年7月、サイバー犯罪者は2021年12月に明らかになったAPIの脆弱性を悪用した後、ハッキングフォーラムで540万人を超えるTwitterユーザーのユーザーデータの販売を開始した。

最近、他の研究者が EU と米国の数百万のアカウントに影響を与えた侵害を報告したのと同じように、あるハッカーがこの情報を無料で公開しました。

Twitter の 8 月のブログ投稿によると、このエクスプロイトにより、ハッカーは電子メール アドレスまたは電話番号を API に送信して、どのアカウントにリンクされているかを特定できるようになりました。

Twitter は今年 1 月にこの脆弱性を修正しましたが、依然として数百万人のユーザーのプライベートな電話番号と電子メール アドレスが公開されており、公開された API の影響が現代の組織に壊滅的な影響を与える可能性があることを強調しています。

トランスフォーム 2023

7 月 11 ~ 12 日にサンフランシスコで開催されるイベントにご参加ください。そこでは、経営陣が AI 投資をどのように統合して最適化して成功に導き、よくある落とし穴を回避したかを共有します。

Twitter の侵害は API 攻撃の波の中で発生しており、Salt Security の報告によると、組織の 95% が過去 12 か月間で本番 API でセキュリティ上の問題を経験し、20% が API のセキュリティギャップの結果としてデータ侵害に見舞われました。

この高い悪用率は、API 攻撃が今年最も頻繁に発生する攻撃ベクトルになるという Gartner の予測と一致します。

API 攻撃の残念な現実の 1 つは、これらのシステムの脆弱性により、前例のない量のデータ (この場合は 540 万人以上のユーザーの記録) へのアクセスが可能になってしまうことです。

「API は、システムが相互に通信し、大量のデータを交換するために使用することを目的としているため、これらのインターフェイスは、悪意のある攻撃者にとって悪用の魅力的なターゲットになります」と、SafeBreach CISO の Avishai Avivi 氏は述べています。

Avivi 氏は、これらの脆弱性により基盤となるデータへの直接アクセスが可能になると指摘しています。

「従来のソフトウェアの脆弱性とAPIの脆弱性はいくつかの共通の特徴を持っていますが、本質的には異なります。APIは、接続しようとしているシステムをある程度信頼します」とAvivi氏は述べた。

攻撃者が API にアクセスできるようになると、組織の基盤となるデータベースとそこに含まれるすべての情報に直接アクセスできるようになるため、この信頼には問題があります。

この侵害によって生じる最も重大な脅威はソーシャル エンジニアリングです。 この侵害によって収集された名前とアドレスを使用して、サイバー犯罪者が電子メール フィッシング、音声フィッシング、スミッシング詐欺でユーザーをターゲットにし、ユーザーをだまして個人情報やログイン資格情報を引き渡そうとする可能性があります。

「これほど多くの情報が公開されると、犯罪者はその情報を簡単に利用して、ユーザーに対して説得力のあるソーシャル エンジニアリング攻撃を仕掛けることができます。これは、ユーザーの Twitter アカウントをターゲットにするだけでなく、オンライン ショッピング サイト、銀行、さらには税務署などの他のサービスになりすましても可能性があります」 」と、KnowBe4 のセキュリティ意識向上推進者である Javad Malik 氏は述べています。

これらの詐欺はエンド ユーザーをターゲットにしますが、組織やセキュリティ チームはタイムリーな最新情報を提供して、ユーザーが最も対抗しやすい脅威とその対処方法を確実に認識できるようにすることができます。

「人々は、特にパスワードなどの個人情報や機密情報が要求される場合、不審な通信に常に注意を払う必要があります」とマリク氏は述べた。 「疑問がある場合は、サービスプロバイダーとされる人物に直接連絡するか、自分のアカウントに直接ログオンする必要があります。」

セキュリティ チームが、不正ログインの可能性を減らすために、個人アカウントで 2 要素認証を有効にするよう従業員に通知することも良い考えです。

VentureBeat の使命は、技術的な意思決定者が変革をもたらすエンタープライズ テクノロジーと取引に関する知識を獲得するためのデジタル タウン スクエアとなる予定です。 ブリーフィングをご覧ください。

VentureBeat の使命
共有

前: サイバーセキュリティの最前線で活躍する9つのAPIセキュリティツール

次: 主要な API セキュリティ リスクとそのリスクを軽減する方法

最新ニュース